Gastbeitrag
Compliance, Datenschutz, KI-Regulierung – für viele Gründer stehen rechtliche Themen oft nicht im Fokus der täglichen Arbeit. Verständlich, schließlich geht es zunächst um Produktentwicklung und Kundenakquise. Doch rechtliche Aspekte früh mitzudenken, zahlt sich aus: Ein rechtlich tragfähiges Geschäftsmodell, DSGVO-konforme Prozesse und durchdachte Compliance-Strukturen schaffen nicht nur Sicherheit, sondern können sogar zum Wettbewerbsvorteil werden.
Die Digitalrechts-Experten Demir Kanurić und Tobias Stephan von MAINLY beraten Startups und kennen die typischen Herausforderungen. Im Interview erklären die Rechtsanwälte, wann der richtige Zeitpunkt für eine rechtliche Prüfung ist, welche neuen EU-Gesetze wie der AI Act und der Cyber Resilience Act Startups auf dem Radar haben sollten, und warum eine professionelle Rechtsberatung oft günstiger ist als die Konsequenzen rechtlicher Versäumnisse.
Wann sollten Startups ihr Geschäftsmodell rechtlich prüfen lassen, und was sind die häufigsten Fallstricke, die ihr beobachtet?
Im Idealfall sollte bereits die erste Geschäftsidee einmal rechtlich durchleuchtet werden – bevor größere Investitionen in die Entwicklung fließen. Das mag zunächst wie ein unnötiger Kostenfaktor wirken, aber gerade bei digitalen Geschäftsmodellen gibt es so viele rechtliche Abhängigkeiten, die den gesamten Business Case beeinflussen können.
Ein praktisches Beispiel: Ein KI-Startup entwickelt eine innovative Lösung, investiert monatelang in die Technologie – nur um dann festzustellen, dass der AI Act bestimmte Compliance-Anforderungen stellt, die das ursprünglich geplante Geschäftsmodell unmöglich oder unwirtschaftlich machen. Ähnlich verhält es sich mit DSGVO-Anforderungen bei der Datenverarbeitung, dem Cyber Resilience Act bei hardwarenahen Produkten oder Verbraucherschutzbestimmungen im E-Commerce.
Unser Ansatz im Digitalrecht ist es, gemeinsam mit Gründern „weiße, graue und schwarze“ rechtliche Bereiche zu identifizieren. Weiß bedeutet: rechtlich unbedenklich. Grau: erhöhtes Risiko, aber machbar mit entsprechenden Vorkehrungen. Schwarz: rechtlich nicht umsetzbar oder mit unvertretbaren Risiken verbunden. Je früher diese Einordnung erfolgt, desto gezielter kann ein rechtlich tragfähiges Modell entwickelt werden.
Besonders wichtig ist die Kundenperspektive bei der rechtlichen Geschäftsmodellprüfung. Wenn Startups beispielsweise im FinTech- oder Life Sciences-Bereich aktiv sind, haben ihre Kunden selbst hohe regulatorische Anforderungen. Selbst das beste Produkt verkauft sich nicht, wenn es diesen Compliance-Standards nicht genügt.
Da Startups agil arbeiten und Geschäftsmodelle häufig pivotieren, sollte bei jeder größeren Änderung des Business-Case kurz geprüft werden, ob sich auch rechtlich etwas verschiebt. Ein kurzer Austausch mit spezialisierten Digitalrechts-Anwälten kostet nicht die Welt, kann aber völlig neue Perspektiven eröffnen – oder auch bestätigen, dass das Startup auf dem richtigen Weg ist.
Viele Gründer scheuen eine Startup Rechtsberatung aus Kostengründen. Was sind die potenziellen finanziellen und rechtlichen Konsequenzen, wenn rechtliche Themen, wie eine saubere Vertragsgestaltung und Compliance-Risiken, zu lange ignoriert werden?
Rechtliche Themen sollten Startups definitiv nicht auf die leichte Schulter nehmen. Zwar werden die Millionen-Bußgelder, die EU-Digitalgesetze wie der AI Act oder die DSGVO vorsehen, gegen Startups in aller Regel nicht verhängt. Aber Compliance-Verstöße ziehen unweigerlich die Aufmerksamkeit von Aufsichtsbehörden und Mitbewerbern auf sich.
Die Konsequenzen reichen von Abmahnungen über behördliche Anordnungen bis hin zu Bußgeldern. Auch wenn diese nicht gleich in Millionenhöhe ausfallen, können schnell mehrere tausend Euro zusammenkommen. Im schlimmsten Fall droht der Stopp der Nutzung bestimmter Produkte oder – z.B. im FinTech-Bereich – der Widerruf von Zulassungen. Hinzu kommt das „Naming & Shaming“. Vertrauen von Kunden aufzubauen dauert Jahre, es zu verlieren, geht innerhalb weniger Tage.
Bei der Vertragsgestaltung gilt folgendes: Schlecht formulierte IT-Verträge oder AGB werden rechtlich oft zu Lasten des Verwenders ausgelegt. Das kann die Handhabe bei schlechter Leistung des Vertragspartners, die Durchsetzbarkeit eigener Ansprüche, und weitere eigentlich bestehende Rechte beeinträchtigen. Im E-Commerce gilt ein erhöhter Verbraucherschutz, sodass mangelhafte Vertragsgestaltung zu Umsatzeinbußen führen kann.
Für Geschäftsführer wichtig: Compliance-Risiken schaffen Haftungsrisiken, die das Unternehmen und die Geschäftsführung persönlich treffen können. Bei GmbHs oder AGs gilt der sogenannte Legalitätsgrundsatz – die Geschäftsführung muss für Gesetzestreue sorgen. Wer diese Pflicht verletzt, kann in persönliche Haftung genommen werden.
Das klingt dramatisch, ist aber praktisch gut handelbar. Je früher Startups Compliance-Strukturen schaffen, desto weniger Angriffsfläche bieten sie. Strukturen, die von Anfang an mitgedacht werden, skalieren mit dem Unternehmen mit. Und wer fachkundige Digitalrechts-Beratung hat, kann viele Risiken präventiv abfangen – und deutlich besser schlafen. Umgekehrt kann eine ordentliche Compliance zum Wettbewerbsvorteil werden: Weil langfristig weniger Zeit auf das Lösen rechtlicher Probleme verwendet wird, es Vertrauen zum Kunden aufbaut und, wenn es ganz gut läuft, sogar als Verkaufsargument dient.
Im Umgang mit der DSGVO: Was sind die drei größten und am häufigsten begangenen Fehler, die Startups machen, und wie lassen sich diese vermeiden?
Fehler 1: Unbekannte Datenverarbeitungen
Startups kennen oft ihre eigenen Datenverarbeitungen nicht vollständig. Ein typisches Beispiel: Eine ganze Reihe von Tools wird auf die Website gepackt – Analytics, Chatbots, Newsletter-Tools, CRM-Systeme. Erst bei der Erstellung der Datenschutzerklärung wird klar, welche Datenverarbeitungen tatsächlich stattfinden. Dann fehlt plötzlich die Rechtsgrundlage oder es werden personenbezogene Daten in Drittländer übertragen, ohne dass entsprechende Garantien vorliegen. Das gleiche Problem tritt auch in anderen Unternehmensbereichen auf – von der HR-Software bis zur Buchhaltung.
Fehler 2: Abschluss allgemeiner DSGVO-Pakete statt individueller Lösungen
Einige Anbieter am Markt machen ein Massengeschäft, bei dem vermeintlich günstige DSGVO-Pakete und All-in-One-Lösungen angeboten werden. Dabei handelt es sich aber oft um Lösungen, die massenhaft an jeden herausgegeben werden, ohne auf den konkreten Bedarf zu schauen. So bleiben diese Angebote an einigen Stellen hinter dem gesetzlich Geforderten zurück und beinhalten andererseits Produkte, die das jeweilige Startup vielleicht gar nicht braucht. Das führt einerseits zu einer Art „Information Fatigue“ und andererseits zu dem möglicherweise falschen Gefühl, man sei bereits compliant. Besser sind individuelle Lösungen, die auf das spezifische Geschäftsmodell zugeschnitten sind.
Fehler 3: Fehlende Prozesse für den Ernstfall
Viele Startups implementieren keine Prozesse für Incident Management oder Betroffenenanfragen. Auch das Prinzip „Privacy by Design“ wird häufig ignoriert. Wenn dann etwas passiert, dauert die Reaktion länger und macht alles komplexer. Ein Beispiel: Eine Betroffenenanfrage kommt rein, aber niemand weiß, wer zuständig ist und welche Schritte einzuleiten sind.
Die Lösung liegt im ausgewogenen Ansatz. Startups sollten weder DSGVO-Anforderungen komplett ignorieren noch das Setup eines Konzerns anstreben. Wer als Startup die gleichen Compliance-Strukturen wie ein Großunternehmen aufbaut, verliert schnell den Blick für das Wesentliche: das eigene Geschäftsmodell. Zeit und Budgets sind limitiert – daher brauchen Startups einen Partner, der zur richtigen Zeit zu den richtigen Projekten rät und diese Arbeit zu großen Teilen abnimmt.
Wichtig dabei: 100%-Lösungen wird es oft nicht geben, weil diese nicht im Budget stehen. Der Schlüssel liegt darin, schlau mit unternehmerischem Risiko umzugehen und datenschutzrechtliche Anforderungen proportional zur Unternehmensgröße und zum Geschäftsmodell umzusetzen.
Viele Investoren lassen die Verträge, Lizenzen und Compliance eines Startups vor einer Finanzierung prüfen. Welche typischen Versäumnisse können eine Finanzierung am ehesten gefährden?
Neben dem in der ersten Frage bereits erläuterten Thema des rechtlich nicht tragfähigen Geschäftsmodells sind folgende Aspekte zu beachten:
- Fehlende oder unzureichende Lizenzen können eine Finanzierung zum Scheitern bringen. Ein gutes Beispiel ist der „Copyleft-Effekt“ bei Open Source Lizenzen. Einige Open Source Lizenzen erfordern, dass die damit erstellte Software ebenfalls als Open Source veröffentlicht wird. Das kann die Monetarisierung des gesamten Produkts unmöglich machen – und damit sind auch die Investoren weg.
- Noch nicht vollständig aufgearbeitete Datenschutzvorfälle und Cyber-Sicherheitsverletzungen sind ein weiterer Showstopper. Hier drohen lange Verfahren, Schadensersatzforderungen und Bußgelder. Investoren steigen gelegentlich aus, wenn solche „unbezifferten Risiken“ im Unternehmen schlummern. Dabei kommt es aber auf den konkreten Einzelfall an, insbesondere auf den Umgang des Startups mit dem jeweiligen Vorfall.
- Bei „kleineren“ Compliance-Versäumnissen scheitert das Investment oft nicht, aber die offenen To-Dos werden eingepreist. Typische Beispiele sind unvollständige Datenschutz-Compliance, schlecht gestaltete Freelancer-Verträge oder Marken, die noch auf die Gründer persönlich angemeldet sind. Diese Versäumnisse lassen sich meist noch nachziehen, führen aber zu Abschlägen bei der Bewertung oder zusätzlichen Bedingungen im Term Sheet. In jedem Fall verzögert sich damit die Finanzierung.
Der Schlüssel liegt darin, diese Themen frühzeitig anzugehen – idealerweise bereits vor der ersten Finanzierungsrunde. Was heute als „kleineres Problem“ erscheint, kann in späteren Finanzierungsrunden zu einem Deal-Breaker werden, wenn die Due Diligence-Prozesse detaillierter und die Anforderungen der Investoren höher werden.
Welche neuen Digitalgesetze und aktuellen rechtlichen Entwicklungen – insbesondere im Bereich KI-Recht und Cybersicherheit – sollten Startups unbedingt auf dem Radar haben, um zukunftsfähig zu bleiben?
Der AI Act ist das weltweit erste umfassende KI-Gesetz und betrifft praktisch jedes Startup, das KI einsetzt oder entwickelt. Die Verordnung kategorisiert KI-Systeme nach Risikoklassen und stellt entsprechende Anforderungen an Dokumentation, Risikomanagement und Transparenz.
Die Cybersicherheitsanforderungen steigen auch für kleinere Unternehmen kontinuierlich. Die NIS2-Richtlinie hat die Anzahl regulierter Wirtschaftsunternehmen von 1.000 auf etwa 30.000 erhöht und erfasst damit erstmals auch kleinere Einheiten und vermehrt den Mittelstand. Der Cyber Resilience Act (CRA) ist zwar erst ab Juni 2026 anwendbar, wird aber für Unternehmen aller Größen gelten. Der Trend geht daher zu immer mehr Cybersicherheit. Auch Startups müssen Cybersicherheit in ihren Produkten mit digitalen Elementen von Anfang an mitdenken – nicht nur als technische, sondern als rechtliche Anforderung.
Der Data Act fliegt oft noch unter dem Radar, wird aber zu mehr Datenportabilität führen. Das bietet Chancen für neue Marktteilnehmer, da zum Beispiel der Wechsel von Daten zwischen Produkten vereinfacht wird. Gleichzeitig müssen Geschäftsmodelle anders gedacht werden, weil Portabilität als gesetzliche Anforderung bereits in der Produktentwicklung berücksichtigt werden muss.
Bei der DSGVO gibt es aktuell Diskussionen über Erleichterungen für kleine Unternehmen. Ein Beispiel: Es wird über die Abschaffung der Grenze von 20 Mitarbeitern diskutiert, ab der in Deutschland die Benennung eines Datenschutzbeauftragten verpflichtend ist.
Startups sollten diese Entwicklungen aktiv verfolgen und so Gestaltungschancen erkennen: Wer regulatorische Anforderungen von Anfang an mitdenkt, schafft Wettbewerbsvorteile und positioniert sich für künftige Finanzierungsrunden optimal.
Demir Kanurić und Tobias Stephan, Rechtsanwälte und Geschäftsführer bei MAINLY
Ab wann macht es für ein wachsendes Startup Sinn, eine interne Rechtsabteilung in Betracht zu ziehen, und inwiefern kann eine Kanzlei wie MAINLY diese Rolle in der Zwischenzeit ausfüllen?
Eine eigene Rechtsabteilung lohnt sich vor allem dann, wenn ein sehr hoher Beratungsbedarf besteht, beispielsweise wenn externe, spezialisierte Juristen regelmäßig 20 bis 40 Stunden pro Woche beschäftigt werden.
Die Kosten sprechen ebenfalls gegen eine zu frühe Internalisierung: Die Einrichtung einer (Teilzeit-)Rechtsabteilung kostet zwischen 60.000 und 130.000 Euro jährlich. Auch hier wird weiter externe Beratung nötig sein, da die erste Inhouse-Juristin bzw. der erste Inhouse-Jurist in aller Regel Generalist sein wird und in Spezialgebieten weiteres externes Beratungsbudget benötigt.
Insbesondere für beratungsintensive Startups bedeutet „Legal-as-a-Service“, dass man sich Profis ins Haus holen kann. Dies erfolgt zum einen relativ zeitnah und ohne dauerhafte Bindung (also gerade auch mal nur für einige Monate). Zum anderen können durch die Planbarkeit bessere Preise vereinbart werden, als wenn einfach externe Beratung zugekauft wird. Ein weiterer Vorteil ist, dass durch die engere Zusammenarbeit auch die Beratungsqualität nochmal steigt. Je besser die Rechtsanwältin bzw. der Rechtsanwalt das Unternehmen und die Prozesse kennt, desto genauer ist die Beratung.
MAINLY kann genau diese Lücke für Startups füllen. Als spezialisierte Digitalrechtskanzlei verstehen wir die besonderen Herausforderungen von Startups – von der DSGVO-Compliance über KI-Regulierung bis hin zu komplexen IT-Verträgen. Unser Angebot „Legal-as-a-Service“ funktioniert ähnlich wie eine externe Rechtsabteilung: Wir lernen das Geschäftsmodell kennen, arbeiten kontinuierlich zusammen und können dadurch effizienter beraten als bei klassischen Einzelmandaten. Sinnvoll kann das auch als Ergänzung zur bestehenden, aber anderweitig spezialisierten Rechtsabteilung sein.
Der Vorteil: Startups erhalten rechtliche Expertise, ohne sich personell festzulegen. Sie zahlen nur für das, was sie wirklich brauchen, und können bei Bedarf – etwa bei Finanzierungsrunden – schnell hochskalieren.
Für die meisten Startups ist diese flexible externe Begleitung bis weit in die Scale-up-Phase die wirtschaftlich sinnvollere Alternative zur eigenen Rechtsabteilung.
Autoren
Demir Kanurić & Tobias Stephan
E-Mail: contact@mainly-law.com
Telefon: +49 711 252 485 90
Mainly Rechtsanwalts-GmbH
Heilbronner Str. 150
70191 Stuttgart
Deutschland